Recolha registos do BOTsink da Attivo Networks

Este documento explica como carregar registos do BOTsink da Attivo Networks para o Google Security Operations através do Bindplane. O analisador tenta primeiro analisar as mensagens de registo recebidas como JSON. Se isso falhar, usa uma série de padrões Grok para extrair campos de mensagens formatadas no formato de evento comum (CEF), processando vários formatos e potenciais erros. Por último, mapeia os campos extraídos para o esquema do modelo de dados unificado (UDM), enriquecendo os dados com contexto adicional e padronizando a saída.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

• Instância do Google SecOps
• Windows 2016 ou posterior, ou um anfitrião Linux com systemd
• Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
• Acesso privilegiado às redes Attivo

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

1. Abra a Linha de comandos ou o PowerShell como administrador.

2. Execute o seguinte comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute o seguinte comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda ao ficheiro de configuração:
   • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'ATTIVO'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID de cliente real.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configure o Syslog no BOTsink da Attivo Networks

1. Inicie sessão na IU Web da Attiva Networks.
2. Aceda a Administração > Gestão > Syslog.
3. Clique em Adicionar para criar um novo perfil Syslog.
4. Indique um nome descritivo para o perfil.
5. Em Encaminhamento de eventos, selecione Ativado.
6. Forneça a configuração das normas do BOTsink:
   • Muito baixo: selecione Informativo.
   • Baixo: selecione Aviso.
   • Meio: selecione Alerta.
   • Elevada: selecione Crítico.
   • Muito elevado: selecione Emergência.
   • Para Formato da mensagem: selecione CEF.
7. Selecione Adicionar nova associação na secção do perfil.
8. Indique os seguintes detalhes de configuração:
   • Nome do servidor: introduza um nome descritivo que ajude a identificar o Google SecOps.
   • Nome do perfil: selecione o perfil syslog CEF que criou anteriormente.
   • Endereço IP: introduza o endereço IP do agente Bindplane.
   • Porta: introduza o número da porta do agente do Bindplane (por exemplo, introduza 514 para UDP).
   • Protocolo: selecione UDP.
9. Clique em Testar ligação e verifique se recebe os dados de teste no agente Bindplane e no Google SecOps.
10. Clique em OK.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.